GA黄金甲

  1. GA黄金甲滤油机首页
  2. 资助中心

druid未授权会见误差版本

泉源:GA黄金甲滤油机网 责任编辑:恩小氏 时间:2024年9月19日 0

apache druid 版本 0.24.0 至 0.26.1 保存未授权会见误差,允许攻击者通过绕过身份验证机制来未经授权会见敏感数据。攻击者可使用此误差通过 graphql 盘问来会见 druid 集群中的数据,而缓解步伐包括升级到受影响版本的上一个版本 (0.24.3、0.25.3 或 0.26.2) 并接纳特另外清静步伐,例如限制对集群和 api 的会见、使用防火墙和监控日志。

Druid 未授权会见误差:版本受影响

Druid 是一款盛行的开源时间序列数据库。它因其高性能和可扩展性而被普遍使用。然而,2022 年披露了一个未授权会见误差,影响了 Apache Druid 的特定版本。

受影响版本:

  • Apache Druid 0.24.0 至 0.24.2
  • Apache Druid 0.25.0 至 0.25.2
  • Apache Druid 0.26.0 至 0.26.1

误差详情:

该误差保存于 Druid 的 GraphQL API 中。攻击者可以通过结构特制的 GraphQL 盘问来绕过身份验证机制,从而未经授权会见 Druid 集群中的数据。

误差使用:

为了使用此误差,攻击者需要知道 Druid 集群的 URL 和端口。然后,他们可以使用 GraphQL 客户机(例如 Apollo Client)发出如下 GraphQL 盘问:

query {
  dataSource(name: "dataSourceName") {
    aggregations {
      sum(fieldName)
    }
  }
}

登录后复制

此盘问将绕过身份验证,并返回指定命据源中指定字段的聚合效果。攻击者可以使用此信息来会见敏感数据,例如财务数据、用户运动或其他神秘信息。

缓解步伐:

要缓解此误差,建议受影响的用户升级到以下版本:

  • Apache Druid 0.24.3
  • Apache Druid 0.25.3
  • Apache Druid 0.26.2

别的,用户可以接纳以下办法进一步降低危害:

  • 限制对 Druid 集群的会见,只允许授权用户会见。
  • 使用防火墙限制对 Druid GraphQL API 的会见。
  • 监控 Druid 日志以检测可疑运动。

以上就是druid未授权会见误差版本的详细内容,更多请关注本网内其它相关文章!

免责说明:以上展示内容泉源于相助媒体、企业机构、网友提供或网络网络整理,版权争议与本站无关,文章涉及看法与看法不代表GA黄金甲滤油机网官方态度,请读者仅做参考。本文接待转载,转载请说明来由。若您以为本文侵占了您的版权信息,或您发明该内容有任何涉及有违公德、冒犯执法等违法信息,请您连忙联系GA黄金甲实时修正或删除。

上一篇:

下一篇:

相关新闻

联系GA黄金甲

18523999891

可微信在线咨询

事情时间:周一至周五,9:30-18:30,节沐日休息

QR code
【网站地图】【sitemap】